У Oracle Audit Vault and Database Firewall (AVDF) 20 обновленный, современный пользовательский интерфейс с упрощенной навигацией для типичных рабочих процессов. Коллекция аудитов расширена и охватывает новые типы целевых объектов. Возможности Oracle Audit Vault and Database Firewall теперь выходят за рамки мониторинга активности базы данных, позволяя управлять статусом безопасности Вашего экземпляра Oracle Database. Лучшие в своем классе механизмы мониторинга, уже присутствующие в Oracle Database, дополняются возможностью наблюдения за конфигурациями безопасности, правами пользователей и хранимыми процедурами. AVDF осуществляет аудит баз данных и отслеживает сетевую активность, помогая управлять статусом безопасности баз данных Oracle и сторонних поставщиков, размещенных в облаке или локально. Полный список возможностей см. в примечаниях к выпуску AVDF 20.
AVDF поддерживает нативный сбор данных аудита и мониторинг сетевого SQL-трафика. Данные аудита и сетевые события из Database Firewall хранятся на сервере Oracle Audit Vault. Это позволяет сопоставлять данные об активности и создавать отчеты.
Oracle рекомендует использовать комплексный подход поддерживает аудит баз данных и мониторинг сетевого SQL-трафика. Вы можете начать с любого из компонентов, а затем при необходимости расширить свою архитектуру, чтобы включить их оба.
AVDF 20 поддерживает Oracle Database, Microsoft SQL Server, MySQL, IBM Db2, PostgreSQL, SAP Sybase, MongoDB и журналы операционных систем Linux, Windows, Solaris и AIX. AVDF также поддерживает журналы аудита, записанные в файлы в форматах XML, CSV и JSON. Вы можете использовать собственные сборщики данных для сбора журналов аудита и их отправки на сервер Audit Vault для всех остальных целевых объектов, где журналы аудита записываются в таблицы базы данных. Подробнее см. в матрице поддержки платформ в руководстве по установке AVDF 20.
AVDF может собирать данные аудита из таблиц или файлов приложения (XML, JSON, CSV), сопоставлять их со стандартным форматом и включать их в один отчет по всем источникам. Подробнее см. в руководстве разработчика AVDF.
Аудит обычно заключается в фиксации подробной информации после определенного события, как непосредственно из инструкции SQL, так и посредством вызова хранимой процедуры. Мониторинг SQL-трафика позволяет анализировать инструкции SQL и принимать меры по отношению к ним, прежде чем они достигнут базы данных. Это дает возможность блокировать подозрительные инструкции. В обоих случаях Вы можете указать условия, при которых система должна вести сбор журналов аудита или событий. Обе функции позволяют получить разную картину для одного и того же события: одна до, другая после. По обеим этим картинам возможна генерация оповещений.
Oracle рекомендует использовать комплексный подход поддерживает аудит баз данных и мониторинг сетевого SQL-трафика. Клиенты могут начать с любой из функций, а затем расширить свою архитектуру, включив их обе.
AVDF предоставляет интерфейс для просмотра Ваших политик аудита Oracle и их подготовки в целевой базе данных одним щелчком мыши. Что касается политики Database Firewall, при настройке точки мониторинга брандмауэра баз данных для целевого объекта автоматически применяется политика по умолчанию. Эта политика по умолчанию используется для всех целевых объектов, контролируемых брандмауэром баз данных. Она предполагает регистрацию всех входов в систему и выходов из нее, а также уникальных инструкций DDL и DCL в разных сеансах для всех таблиц и представлений. Также можно настроить в пользовательском интерфейсе собственные политики Database Firewall, чтобы разрешать, регистрировать, заменять или блокировать инструкции SQL, а также отправлять соответствующие оповещения. Кроме того, можно настроить политики брандмауэра для экземпляров Oracle Database, чтобы фиксировать возвращаемое инструкцией SQL SELECT число строк и использовать эти данные для мониторинга и оповещения о попытках эксфильтрации данных. Подробнее см. в руководстве аудитора.
Вы можете настроить Database Firewall для мониторинга и блокирования или только для мониторинга. Для мониторинга и блокировки необходимо настроить брандмауэр в режиме прокси, чтобы весь трафик баз данных проходил через Database Firewall. Для сетевого мониторинга SQL-трафика можно настроить порт SPAN сетевых коммутаторов так, чтобы они отправляли трафик на Database Firewall, или настроить монитор хоста на компьютерах с базами данных так, чтобы он перенаправлял SQL-трафик на Database Firewall. Подробнее см. в руководстве администратора.
Сервер Audit Vault консолидирует данные аудита и сетевой SQL-трафик, создавая единое представление всей активности базы данных из журналов аудита и зафиксированного SQL-трафика. Оповещения и отчеты создаются на основе консолидированных данных.
Да, AVDF предоставляет отчет, в котором содержатся сведения о событиях базы данных, соотнесенных с пользователем ОС Linux до перехода SU или SUDO.
AVDF 20.9 предоставляет централизованное решение оценки безопасности для предприятий на уровне парка за счет интеграции популярного средства оценки безопасности для Oracle Database — Database Security Assessment Tool (DBSAT). Полномасштабная оценка с отсылками к нормативным требованиям и рекомендациями дает четкое представление о состоянии безопасности всех экземпляров Oracle Database предприятия. Подробнее можно прочитать здесь.
Начиная с AVDF 20.9 пользователи могут обнаруживать конфиденциальные данные и привилегированных пользователей в экземплярах Oracle Database. В AVDF 20 возможность определения прав пользователей расширена, и DBSAT выявляет привилегированных пользователей и конфиденциальные объекты в Oracle Database. Это достигается путем планирования и выполнения заданий по обнаружению прав пользователей и конфиденциальных объектов. После обнаружения привилегированных пользователей и конфиденциальных объектов они могут быть добавлены в наборы привилегированных пользователей и конфиденциальных объектов соответственно. Эти наборы являются глобальными и могут использоваться в нескольких политиках брандмауэра баз данных.
В AVDF предусмотрены встроенные отчеты о соответствии нормам GDPR, PCI, GLBA, HIPAA, IRS 1075, SOX и UK DPA. Например, для оценки соответствия GDPR мы предоставляем отчеты о том, у кого есть доступ к Вашим конфиденциальным данным, а также кто осуществляет доступ к Вашим конфиденциальным данным. Вы можете настраивать отчеты в соответствии с конкретными задачами или отраслевыми/региональными требованиями. К схеме Audit Vault также могут подключаться сторонние средства отчетности для анализа и создания отчетов.
Вы можете включить политики аудита для активности администраторов и именованных пользователей. В AVDF есть готовые отчеты, в том числе отчеты по привилегированным пользователям, в которых отражается вся зафиксированная активность привилегированных пользователей.
Пользователи AVDF могут использовать отчет по всей активности для анализа того, каким объектам осуществлялся доступ. AVDF может фильтровать данные по пользователю, объекту, датам и т. д., а также анализировать полученный результат, чтобы определить, осуществляли ли к объектам доступ неуполномоченные пользователи. Кроме того, пользователи экземпляров Oracle Database могут использовать возвращенные инструкциями SQL SELECT строки для расследования попыток эксфильтрации данных.
AVDF можно настроить для проверки прав в отношении экземпляров Oracle Database по заданному расписанию и предоставления дифференциальной отчетности о том, что изменилось с момента последнего отчета. AVDF выявляет изменения в пользователях, ролях и полномочиях.
Политики и правила корпоративной безопасности, такие как HIPAA, требуют аудита изменений, вносимых в конфиденциальные данные, и фиксации значений «до» и «после» записи. AVDF фиксирует значения «до/после», используя интегрированный процесс извлечения Oracle GoldenGate (ограниченная лицензия на этот продукт входит в комплект) и включает их в отчеты AVDF для анализа. Подробнее см. в руководстве администратора и руководстве аудитора AVDF.
AVDF — это решение DAM, обеспечивающее нативный сбор данных аудита и мониторинг сетевого SQL-трафика. AVDF поддерживает оповещения, отчеты и архивирование данных аудита. AVDF может отправлять события на сервер syslog для интеграции с системами SIEM. Схема репозитория AVDF документирована, и SIEM или агрегаторы журналов могут запрашивать его, что позволяет легко интегрировать AVDF с большинством сторонних SIEM/анализаторов журналов.
Oracle Database Firewall отслеживает трафик в экземпляр Oracle Database и из него, когда используется нативное сетевое шифрование Oracle или сетевое шифрование TLS. Что касается баз данных других поставщиков, в которых не используется сетевое шифрование TLS, такой SQL-трафик Database Firewall интерпретировать не может. Вы можете использовать решения терминирования SSL или TLS для терминации SQL-трафика непосредственно перед тем, как он достигнет Database Firewall, чтобы Database Firewall мог интерпретировать SQL-трафик и применить политики.
AVDF шифрует собранные данные с использованием прозрачного шифрования данных, а также шифрует сетевой трафик с целевых объектов. AVDF обеспечивает разделение обязанностей между администратором и аудитором и использует Database Vault для ограничения доступа к данным. Подробнее см. в разделе General Security Guidelines в руководстве администратора AVDF.
AVDF 20 поддерживает интеграцию с Microsoft Active Directory для проверки подлинности пользователей. Вы также можете создавать администраторов/аудиторов AVDF в качестве пользователей Microsoft Active Directory. Подробнее см. в руководстве администратора AVDF.
При настройке в соответствии с рекомендациями по размеру сервер Audit Vault может поддерживать сбор данных о событиях AVDF в объеме до 1000 журналов аудита, и каждый агент может поддерживать до 20 журналов аудита. Рекомендации по размеру см. в разделе Audit Vault and Database Firewall Best Practices and Sizing Calculator (примечание 2092683.1 на MOS) в руководстве по установке. Вы можете определить объем ресурсов ЦП, памяти и дискового пространства, необходимый для сервера Audit Vault, агента Audit Vault и Database Firewall в соответствии с Вашей средой. Для получения рекомендаций по размеру необходимо указать количество целевых объектов, средний объем генерируемых в день данных аудита, период хранения, количество целевых объектов брандмауэра и другую информацию.
AVDF может масштабироваться для поддержки сбора данных аудита из Oracle Exadata и других кластеризованных баз данных. Вы можете настроить количество агентов в соответствии с общим количеством целевых объектов и ожидаемым темпом поступления данных аудита. В AVDF 20.5 (и более поздних версий) агенты Audit Vault автоматически выбирают оптимальную конфигурацию для повышения скорости сбора данных аудита. Этот динамическая многопотоковая функциональность сбора данных сборщика эффективно использует ресурсы сервера Audit Vault и агента Audit Vault. Подробнее см. в разделе Registering Targets в руководстве администратора.
AVDF может вести мониторинг целевых объектов, развернутых локально и в Oracle Cloud, включая сервисы Oracle Autonomous Database. Сервер Audit Vault собирает данные для традиционных журналов аудита, детализированных аудитов, аудитов Database Vault и объединенных аудитов из журналов аудита в облачных или локальных базах данных. Подробнее см. в разделе Oracle Audit Vault And Database Firewall Hybrid Cloud Deployment в руководстве администратора.
AVDF поддерживает высокодоступные конфигурации для всех компонентов AVDF, включая сервер Audit Vault, Database Firewall и агент Audit Vault. Подробнее см. в руководстве администратора.
Сервер Audit Vault поддерживает политики хранения данных по целевым объектам, что позволяет обеспечить соответствие как внутренним, так и внешним требованиям. Данные аудита могут автоматически архивироваться в недорогом внешнем репозитории и извлекаться оттуда в соответствии с политикой для данного целевого объекта. Подробнее см. в руководстве администратора.
В AVDF есть мощный конструктор оповещений, который позволяет настраивать оповещения по собранным данным аудита и брандмауэра на основе различных условий. AVDF может выводить оповещения на инфопанель, отправлять их по электронной почте или отправлять на сервер syslog.
AVDF может считывать и отображать в отчетах AVDF данные из журнала аудита Database Vault. Oracle Key Vault можно добавить в AVDF в качестве целевого объекта. AVDF будет собирать данные аудита из Oracle Key Vault и генерировать отчеты обо всей активности в AVDF. Начиная с AVDF Update 9 с механизмами оценки безопасности и обнаружения конфиденциальных данных AVDF интегрируется DBSAT, что позволяет оценивать состояние безопасности экземпляров Oracle Database и обнаруживать конфиденциальные данные в экземплярах Oracle Database в масштабах всего парка.
Подключаемый модуль AVDF в Enterprise Manager предоставляет интерфейс в Oracle Enterprise Manager Cloud Control, с помощью которого администраторы могут управлять компонентами AVDF и осуществлять их мониторинг. Полную информацию см. в руководстве пользователя подключаемого модуля мониторинга системы для Audit Vault и Database Firewall. Чтобы узнать, какие версии Oracle Enterprise Manager поддерживают работу с AVDF 20, см. матрицу совместимости с Oracle Enterprise Manager.
Для развертывания компонентов AVDF можно использовать любую 64-разрядную аппаратную платформу Intel x86, поддерживаемую Oracle Linux Release 8. Полный список оборудования см. в списке сертифицированного оборудования. Каждый сервер Audit Vault и Database Firewall должны быть установлены на выделенном 64-разрядном сервере с процессором x86. См. раздел 2.2.1 Product Compatibility Matrix в руководстве по установке.
Кроме того, AVDF можно развернуть в Oracle Cloud Infrastructure (OCI) из Oracle Cloud Marketplace. Используя образ с Marketplace, развернуть полностью функционирующую систему AVDF можно за несколько минут. Oracle Cloud обеспечивает гибкое масштабирование вычислительных ресурсов в соответствии с растущими потребностями. Простота масштабирования дает возможность начать с небольшой конфигурации ВМ и увеличивать ее по мере увеличения рабочей нагрузки.
Рекомендации по размеру см. в разделе Audit Vault and Database Firewall Best Practices and Sizing Calculator (примечание 2092683.1 на MOS) в руководстве по установке. Вы можете определить объем ресурсов ЦП, памяти и дискового пространства, необходимый для сервера Audit Vault, агента Audit Vault и Database Firewall в соответствии с Вашей средой. Для получения рекомендаций по размеру необходимо указать количество целевых объектов, средний объем генерируемых в день данных аудита, период хранения, количество целевых объектов брандмауэра и другую информацию.
Хотя AVDF можно запускать в виртуализированных средах, таких как Oracle VM Server или VMware, рекомендуется устанавливать это решение на физическое оборудование.
Как правило, получение работающего прототипа занимает от двух дней до двух недель, в зависимости от количества целевых объектов и политик. Развертывание состоит из трех основных шагов:
1. Установка сервера Audit Vault и, если необходимо, Database Firewall на выбранных серверах: весь процесс с использованием образа ISO довольно прост и может быть выполнен за несколько часов. При развертывании AVDF из Oracle Cloud Marketplace в области аренды OCI система может быть готова к работе всего за несколько минут.
2. Включение или создание соответствующих политик аудита или мониторинга на целевом объекте или Database Firewall: создавать политики по умолчанию в AVDF можно в несколько щелчков мыши. Однако в зависимости от сценария использования это может занять больше времени.
3. Анализ отчетов и оповещений: в AVDF предусмотрено несколько десятков готовых отчетов, и их можно дополнительно настраивать в соответствии с нормативными требованиями или требованиями безопасности.
После выхода на рабочий прототип обычно потребуется потратить еще некоторое время на настройку резервного копирования, архивации, высокой доступности и т. д. с помощью консоли AVDF. Также Вы можете добавить сборщики для своих приложений, используя структуру пользовательских сборщиков.
Многие из наших клиентов внедрили AVDF, не прибегая к услугам консультантов.
Перед установкой обратитесь к контрольному списку установки в руководстве по установке и воспользуйтесь электронной таблицей определения размера (примечание 2092683.1 на MOS) для определения соответствующей конфигурации оборудования.
AVDF — это полностековое программное устройство, которое включает в себя операционную систему Oracle Linux, СУБД Oracle Database и ПО AVDF, что упрощает развертывание и обновление всех компонентов одновременно. После применения исправлений или обновлений сервера Audit Vault агенты загружаются и обновляются автоматически, что сводит к минимуму время развертывания и обновления.
Также можно использовать для обновления Oracle Audit Vault and Database Firewall до нового выпуска функциональность резервного копирования и восстановления; в этом случае перерыв в мониторинге и сборе данных будет минимальным. Этот процесс можно использовать для обновления с Oracle AVDF 20.3 и более поздних версий до выпуска 20.9 и более поздних версий. Подробнее об этом можно прочитать здесь.
Oracle Audit Vault and Database Firewall (AVDF) поставляется как устройство, и устанавливать на сервере Audit Vault стороннее программное обеспечение не следует. Подробнее см. в руководстве по концепциям AVDF.
Перейти на AVDF 20 имеет смысл по следующим причинам. Во-первых, поддержка Premier Support для AVDF 12.2 была прекращена в марте 2021 г. Это означает, что Oracle больше не выпускает периодические исправления системы безопасности для этого продукта. Но, что еще более важно, в последней версия AVDF есть следующие новые функции и возможности:
До AVDF 20 можно обновлять AVDF версии 12.2.0.9.0 и выше. Если Вы используете версию ниже 12.2 с единым пакетом исправлений 9, сначала обновите ее. Подробнее см. в руководстве по установке AVDF.
После обновления текущие зарегистрированные целевые объекты, настроенные отчеты и архивные данные будут автоматически перенесены в AVDF 20.
Посетите веб-сайт Oracle Technology Network, чтобы узнать больше о продукте, получить доступ к кратким техническим обзорам, информационным сводкам и другим материалам или связаться с представителем Oracle в своем регионе.
AVDF можно загрузить из Oracle Software Delivery Cloud. Ищите комплект продуктов Oracle Audit Vault and Database Firewall. Кроме того, AVDF можно развертывать в Oracle Cloud. Перейдите в Oracle Cloud Marketplace и найдите Oracle Audit Vault and Database Firewall.
Документация по продукту доступна здесь.
Да, на форуме Oracle Audit Vault and Database Firewall можно получить ответы на вопросы по продуктам от экспертов сообщества Oracle.